Bugün arkadaşımda rastladığım word press bloglarına bulaşan saçma sapan bir yönlendirme virüsünün nasıl temizleyebileceğinizi anlatacağım.
Eğer word press bloğunuz başka siteye yönleniyorsa, anasayfada düzgün fakat iç sayfalarda bir anda http://yes.mefound.com/?said=3333g&q= veya xxx.com/seo.php gibi bir sayfaya yönleniyorsa sizinde bloğunuza bu virüs bulaşmış demektir.
Bu virüsün bir kaç çeşidi var bu yüzden bir kaç dosya ya bakmanız ve bu dosyalarda ‘ eval(…) ‘ ile başlayan kod var ise silmeniz gerekmektedir.
Öncelikle FTP şifrenizi mutlaka değiştirin! Nasıl değiştireceğinizi bilmiyorsanız yazılımcınıza veya siteyi yaptırdığınız kişi ile irtibat kurunuz.
Şu dosyaları notepad ile açın ve içinde arayın ;
wp-config.php
wp-load.php
wp-settings.php
Eğer yoksa kullandığınız tema içerisinde yani şuradaki dosyalara bakın;
wp-content/themes/TEMANIZIN ADI/ header.php, footer.php,index.php ve functions.php dosyalarına bakın yine bu kod varsa silin.
ve son olarak eğer bulamadı iseniz;
wp-includes/js/tinymce/utils/gen_validatorv31.php içerisinde en altta ; eval(‘x16… ‘ ) diye başlayan kodu silin.
Güncelleme
Eğer yukarıdaki işlemler işe yaramadıysa geçenlerde karşılaştığım başka bir yönlendirme virüsüne yakalanmışsınız demektir. Ama merak etmeyin çözümü şöyle;
Bu lanet virüs öncelikle bir çok dosyaya bulaşabiliyor. FTP ye baglanıp tüm dosyalarınızı bilgisayarınıza indirip arama yağmanız ve çıkan sonuçları silmeniz en doğrusudur. Benim baktığım wordpress bloğunda bazı dosyalarda;
wp-content/plugins/akismet/akismet.php
wp-includes/js/intro.php
bu dosyalar içerisinde;
$nwsydaxbl = array(‘rVqJVyLH8/9XiG9flN8ad3oumB’,’jyFRWUDUfEAdEkjwfDcA7H4xBw’,’s//7r7u …
ile başlayıp;
eval($lvtza($ljnz(implode(”,$nwsydaxbl)))); ile biten bir koca bir paragrafı bulun ve silin.
Ayrıca wp-content/uploads/2012 veya 2011 klasörleri içerisinde .htaccess ve uzantısı .php olan dosyaları silin.
Muhtemelen bloğunuz eski haline gelecektir.
eSerdaR Hakkında
